L’IA est devenue une arme à double tranchant pour la cybersécurité. D’une part, elle a facilité l’usage de la cybercriminalité, permettant aux criminels en herbe de générer des logiciels malveillants même s’ils n’ont pas de compétences en programmation et en offrant aux criminels plus aguerris des capacités que peu d’entre eux auraient pu imaginer il y a quelque temps. D’autre part, les cyberdéfenseurs peuvent tirer parti de l’IA pour l’automatisation intelligente et les stratégies de défense. L’IA a le potentiel d’uniformiser les règles du jeu, même face à des adversaires dotés d’IA et aux menaces dynamiques qu’ils représentent.

Défis de l’IA et impact sur les cybermenaces
Un cyberacteur malveillant en puissance n’a plus besoin de compétences en programmation pour utiliser la GenAI, car les outils d’IA à grand modèle de langage (LLM) peuvent être utilisés pour écrire des logiciels malveillants. L’IA est également utilisée pour exploiter rapidement les vulnérabilités des logiciels dès qu’elles sont connues du public, ce qui donne aux acteurs malveillants la possibilité d’exploiter celles-ci plus rapidement que les clients qui appliquent les correctifs ou les mises à jour des fournisseurs. La GenAI peut considérablement accroître la sophistication des attaques de spear-phishing, en les élevant au-dessus du contenu standard et des fautes d’orthographe ou de grammaire que les organisations apprennent souvent aux utilisateurs à rechercher. Désormais, lorsqu’un acteur malveillant exploite le carnet d’adresses d’une victime, il peut également s’emparer du contenu d’un courriel et l’utiliser pour générer des courriels personnalisés qui correspondent à la syntaxe et aux sujets que l’expéditeur compromis a utilisés avec chaque destinataire.

L’IA dote également les cybercriminels de nouveaux outils et de nouvelles capacités. Par exemple, les entreprises forment généralement leurs employés à contrer les tentatives de compromission par courriel professionnel visant à contourner les processus normaux et à transférer des fonds pour soutenir un cadre supérieur tel que le PDG, en contactant l’auteur de la demande par téléphone ou par vidéo pour valider l’expéditeur et la demande. Les criminels ont commencé à utiliser des imitations vocales et vidéo de l’expéditeur supposé, générées par l’IA, et des réponses générées par un chatbot pour déjouer ces vérifications.

Les analyses de données basées sur l’IA ont fourni aux cyberacteurs malveillants de nouveaux outils d’exploitation qui offrent de nouvelles catégories de données cibles attrayantes. Il y a dix ans, seuls les États-nations disposaient de centres de données et de la puissance de calcul nécessaires pour exploiter de vastes ensembles de données. La révolution de l’exploration des données induite par l’IA et la croissance de la puissance de calcul et du stockage facturés à l’utilisation signifient que les ensembles de données massifs sont devenus exploitables et des cibles attrayantes pour les acteurs criminels et les États-nations.

Cependant, la capacité des IA générative à coder des malware est très largement surestimée, il y a bien eu un démonstrateur mais les concepteurs des LLM travaillent très régulièrement avec les équipes RAI (Responsible AI) en mode red teaming pour rendre cela impossible et aujourd’hui, même si on ne peut jamais dire que c’est impossible, cela nécessite une connaissance des modèles très approfondie ainsi que beaucoup de temps, du coup pas forcément rentable pour les cyberattaquants.

L’IA est surtout utilisée pour exploiter rapidement les vulnérabilités des logiciels dès qu’elles sont connues du public, mais surtout l’IA est utilisée (depuis quelques années déjà) pour découvrir des vulnérabilités et permettre une exploitation Zéro Day.

Utiliser l’IA pour la cyberdéfense
Les professionnels de la cybersécurité utilisent le terme "surface d’attaque" pour décrire la taille et la complexité de l’environnement numérique, ainsi que leur difficulté à le cartographier ou même à le comprendre pleinement. L’IA et l’utilisation croissante d’architectures maillées de cybersécurité telles que la Security Fabric de Fortinet offrent la possibilité de transformer la taille et la complexité de cet environnement numérique en un avantage potentiel pour les défenseurs du réseau. Les capteurs reliés au sein d’une architecture commune permettent aux opérateurs de réseaux et aux défenseurs de générer des données en temps réel, et l’IA et la ML, de plus en plus puissantes, peuvent les exploiter en temps réel.

Les cyberacteurs malveillants réussissent rarement la première fois qu’ils attaquent une cible, même en utilisant l’IA, mais ils comptent sur le fait que leurs attaques ratées passent inaperçues dans le déluge d’alertes qui inondent le centre des opérations de sécurité d’une entreprise. L’IA permet de repérer les activités anormales, de déterminer quelles anomalies sont des attaques, de générer une réponse en temps réel pour les bloquer et inoculer le reste des actifs numériques de l’organisation contre d’autres attaques. N’oublions pas que l’IA et la ML sont alimentées par des données - et plus elles disposent de données pour s’entraîner et travailler, plus elles sont efficaces. En général, ceux qui exploitent et défendent l’environnement d’une entreprise sont mieux placés pour disposer de ces données que ceux qui cherchent à s’introduire dans le réseau. Certaines niches, comme le spear phishing, favorisent de manière asymétrique l’attaquant, mais de manière générale, la "course à l’armement en matière de big data" favorise le défenseur.